Standart ACL (Access List) Nedir? Ne işe yarar? Cisco cihazlarında standart ACL (Access List) yapılandırması, kullanıcılara veya diğer aygıtlara belirli kaynaklardan erişim izni vermek için bir güvenlik duvar araç olarak kullanabilecekleri çeşitli filtreleme seçeneklerini sağlamaktadır. Standart ACL yapılandırmanın en temel amacı; IP adresinden veya protokolden gelen paketlerin geçip gitmesine izin verilip verilmeyeceğini gruplama yapılarak ayarlamasına yardımcı olmasıdır. Standart Access List’ ler, hangi #Network erişime izin verildiğini tanıma etmede oldukça basittir; istenilendeki trafiğe engelleme ya da ilgili trafikte sadece belirlenebilecek hedeflere ulaşma imkanına sahip olmadıkça tüm gelinen trafiğe engellemededir.
Standard Access Control Lists
- Sadece IP adreslerine göre paketleri kontrol eder.
- Destination Address’e en yakın router’a uygulanır.
- Standard ACL yapılandırmasında yalnızca 1–99 ve 1300–1999 numaralar kullanılır.
Cisco Cihazlarda Standart ACL Yapılandırması
Bu örnek çalışma Cisco Paket Tracer üzerinden yapılacaktır. Örnek senaryomuza göre; PC0 ve PC1 kullanıcıları 192.168.2.x ip bloğundan çıkacak ve ağ geçitleri; 192.168.2.1 olarak verilecek. Başka bir network bloğunda bulunan PC2 kullanıcısına; 192.168.1.x bloğundan ip verilecek ve varsayılan Ağ geçidi; 192.168.1.1 verilecek.
İki Router arasında ki serial bağlantı için; Router0 2.2.2.1 verilecek ve Router1 için 2.2.2.3 verilecek. Bu alt yapıyı Router’lara statik yönlendirmeler yaptığınızı varsayıyorum. Cisco Statik Yönlendirmelerin nasıl yapıldığını incelemek isterseniz BU MAKALE bakabilirsiniz.
Şimdi Standart ACL (Access List) için, PC0 kullanıcısı Server0 ulaşacak, aynı ip bloğunda olan PC1 kullanıcısı ise server ulaşmaması gerekiyor, yine farklı ip bloğunda olan PC2 kullanıcısı da Server0 ulaşmayacak şeklinde kural oluşturacağız. Destination Address yani hedef Server0 sunucu olduğu için ona en yakın Router olan Router1 üzerinde gerekli yapılandırmalar yapacağız.
- R1>enable
- R1#conf terminal
- R1(config)#access-list 10 permit 192.168.2.10 (10 değerini girip izin verilecek İP adresini giriyorum. Birden çok kullanıcı IP adresi varsa bu komutla ekleyebilirsiniz.)
- R1(config)#access-list 10 deny 192.168.2.0 0.0.0.255 (192.168.2.0 sonuna sıfır olarak ekledim çünkü, o bloktan gelen bütün İP adreslerin engellenmesini sağlıyorum. Tabi ki bu işlemi tek İP adresi belirterek de yapabilirsiniz.)
- R1(config)#access-list 10 deny 192.168.1.0 0.0.0.255 ( Sıfır olarak ekledim, çünkü, o bloktan gelen bütün İP adreslerin engellenmesini sağlıyorum.)
- R1(config)#interface serial 0/1/0 (Tanımlayacağım Router’ın serial portunu giriyorum)
- R1(config-if)#ip access-group 10 in (Standart ACL -Access List- Switche tanımlama komutu. Bunu belirtmezseniz kuralınız çalışmaz.)
- R1(config-if)#end
- R1#wr
Girdiğimiz bu Standart ACL (Access List) komutlarından sonra, senaryomuza göre PC0 kullanıcısı Server Ping atabilirken diğer kullanıcılar ulaşamayacaktır. Bu şekilde Access List gruplar tanımlayarak, network yapınızda, hangi İP grup hangi VLAN grubuyla haberleşsin veya haberleşmesin şeklinde, basit bir network güvenliği oluşturabilirsiniz.